賽班斯法案來臨 中國企業請關注安全審計
筆者自打在金融行業中扎根,對于信息安全的關注,就沒有停止過。近期一些國有銀行在香港上市,以及美國搞的賽班斯法案,都讓筆者對于信息安全的意識再度緊繃。 事實上,國內的大型企業里面,幾乎沒有人真
筆者自打在金融行業中扎根,對于信息安全的關注,就沒有停止過。近期一些國有銀行在香港上市,以及美國搞的賽班斯法案,都讓筆者對于信息安全的意識再度緊繃。
事實上,國內的大型企業里面,幾乎沒有人真正關心過賽班斯法案的問題。這從一個側面反映出,很多企業對于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣,不過筆者從幾個金融機構的信息安全審計報告中發現,很多大企業的問題相當嚴重,且主要集中在網絡、系統和數據庫領域。
首先,很少有大企業考慮過綜合布線中的安全問題,從而導致日后一些設備做級聯的時候出現問題。最常見的,一些企業的大廈布線,當初規定一個房間布20個點,全部走暗盒模式。可能隨著日后業務的發展,某個房間需要增加幾個信息點,但是結構所限,沒有辦法進行布線了,因此很多企業就會走級聯的設備,比如臨時接一個HUB,接入交換機端口,把這些設備級聯到HUB上。HUB不支持IP,不能被管理。事實上,即使再用一臺交換機進行級聯,仍然會有安全隱患。
其次,目前國內的大型企業中,幾乎沒有部署補丁管理和智能蠕蟲防御系統,同時也無法從監控點看清楚全國范圍內所有交換機的端口業務。要知道,這幾大問題是企業目前最頭疼的。有意思的是,像IBM、艾森哲等一些專業的IT安全審計公司向筆者透露,由于很多國內大型企業在安全制度、網絡拓撲、節點管理上問題極多,導致他們甚至無暇顧及更加細節的網絡狀況與安全漏洞。
第三,很多企業存在為了獲取大單,直接修改數據庫的問題。任何一個企業的IT經理都不會允許這么做,但業務部門肯定會把數據安全和身邊的利益作對比。比如一張單子,與業務數據庫中設計的要求不符,無法進入系統。如果營業額只有10萬,可能眼睛都不眨地拒絕;100萬的時候,可能還是覺得無所謂;1000萬的時候,經理們要考慮了;1個億,想都不用想,老板就下命令直接改數據庫了。對此,也許只有百年老店的企業,才能夠解決,而中國的大企業還有很長的路要摸索。
事實上,國內的大型企業里面,幾乎沒有人真正關心過賽班斯法案的問題。這從一個側面反映出,很多企業對于信息安全的重視大多停留在口頭上。這么說也許有些朋友不服氣,不過筆者從幾個金融機構的信息安全審計報告中發現,很多大企業的問題相當嚴重,且主要集中在網絡、系統和數據庫領域。
首先,很少有大企業考慮過綜合布線中的安全問題,從而導致日后一些設備做級聯的時候出現問題。最常見的,一些企業的大廈布線,當初規定一個房間布20個點,全部走暗盒模式。可能隨著日后業務的發展,某個房間需要增加幾個信息點,但是結構所限,沒有辦法進行布線了,因此很多企業就會走級聯的設備,比如臨時接一個HUB,接入交換機端口,把這些設備級聯到HUB上。HUB不支持IP,不能被管理。事實上,即使再用一臺交換機進行級聯,仍然會有安全隱患。
其次,目前國內的大型企業中,幾乎沒有部署補丁管理和智能蠕蟲防御系統,同時也無法從監控點看清楚全國范圍內所有交換機的端口業務。要知道,這幾大問題是企業目前最頭疼的。有意思的是,像IBM、艾森哲等一些專業的IT安全審計公司向筆者透露,由于很多國內大型企業在安全制度、網絡拓撲、節點管理上問題極多,導致他們甚至無暇顧及更加細節的網絡狀況與安全漏洞。
第三,很多企業存在為了獲取大單,直接修改數據庫的問題。任何一個企業的IT經理都不會允許這么做,但業務部門肯定會把數據安全和身邊的利益作對比。比如一張單子,與業務數據庫中設計的要求不符,無法進入系統。如果營業額只有10萬,可能眼睛都不眨地拒絕;100萬的時候,可能還是覺得無所謂;1000萬的時候,經理們要考慮了;1個億,想都不用想,老板就下命令直接改數據庫了。對此,也許只有百年老店的企業,才能夠解決,而中國的大企業還有很長的路要摸索。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
